防火墙的性能指标ppt课件

第4章防火墙厂商及产品介绍,57陈小梅,1,4.1防火墙性能指标,2,包括两层含义：一是防火墙能够加强网络的安全性；二是防火墙本身是安全可靠的，具有较强的抗攻击能力。,可用性同样包含两层含义：一是防火墙可以提供多种工作模式，多种检测手段来灵活、便捷地实施安全策略，对于用户的安全性保护来说是可用的；二是对于任何因设备运行异常而出现的错误，防火墙都可以自动地进行处理，保证防火墙可以持续不断地运行，主要指基于故障转移、群集或者其他策略的冗余体系结构和备份过程等。,防火墙能够适应用户网络结构和规模的变化，无论小规模、还是大规模网络,为了有效监控网络数据流，防火墙应该具有较强的事件分类记录和自动分析、审计功能。防火墙应该能够对任何超过正常阈值范围的异常事件，可以通过多种手段进行通知和告警。防火墙网络事件进行细粒度地分类记录，对于还应该能够自动对事件数据进行分析，主动地发现潜在的威胁行为，提供攻击预报功能,可管理性主要是指防火墙应该为管理员提供友好且简单的图形界面以便管理员快速，便捷地进行防火墙运行参数和执行安全策略的配置，减少因配置操作的复杂性带来的系统漏洞,成本耗费指根据用户需求而决定的设备采购费用，包括硬件组件、软件组件和整个的运行成本费用,4.1.1评估防火墙性能指标,3,4.1.2评估防火墙参数,4,吞吐量防火墙转发数据包的能力。每秒钟可以通过防火墙的最大数据流量，通常用防火墙在不丢包的条件下每秒转发包的最大数目来表示。单位为：位每秒（bit/s)或包每秒（p/s)时延在系统重载情况下，防火墙是否会成为网络访问服务的瓶颈。时延指的是在防火墙最大吞吐量的情况下，数据包从到达防火墙到被防火墙转发出去的时间间隔。丢包率指防火墙在不同负载情况下，因为来不及处理而不得不丢弃的数据包占收到的数据包总数的比例。并发连接数防火墙对业务流的处理能力，是其能够同时处理的点到点连接的最大数目。,4.1.2评估防火墙参数,5,NAT模式,路由模式,透明模式,5.工作模式的三种类型,4.1.2评估防火墙参数,6,路由模式传统防火墙一般工作于路由模式，防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信。如图：防火墙路由模式的工作方式,7,NAT模式实际是路由模式的一种。这种模式将内联网络的IP地址翻译成外联网络的一个或多个合法地址，然后访问Internet。NAT模式根据可以分为正向地址翻译和反向地址翻译，也可以分一对一地址映射模式和一对多虚拟地址模式。,网络地址转换模式,8,透明模式可以过滤通过防火墙的数据包，而不会修改数据包包头中的源地址或目的地址信息。不但可以完成同一网段的数据包转发，而且不需要修改周边网络设备的设置。如图：防火墙透明模式的工作方式,9,配置与管理包括两种方式：1、图形化界面。2、命令行界面接口的数量和类型防火墙一般设有多个内联网络接口、一个外联网络接口和用户系统配置和维护的控制接口。日志和审计参数防火墙对所有流经它的数据流都应该有详细的记录，包括正常的通信和攻击行为可用性参数用于评价防火墙的容灾容错能力和附加的性能增强能力。主备份双机模式，备份防火墙持续不断地检测主防火墙工作状态。双链路并行传递，实现网络负载平衡，以增